Europeiska dataskyddsstyrelsen (European Data Protection Board, EDPB) och Europeiska dataskyddsombudsmannen, (European Data Protection Supervisor, EDPS) har antagit ett gemensamt yttrande om EU-kommissionens förslag inom ramen för det så kallade Digital Omnibus-paketet. Förslaget syftar till att förenkla vissa delar av EU:s digitala regelverk, minska administrativa bördor och stärka europeisk konkurrenskraft.
EDPB och EDPS välkomnar ambitionen att öka rättslig tydlighet och minska komplexiteten i regelverket. De framhåller dock att varje ändring av dataskyddsregelverket måste ske med full respekt för den grundläggande rätten till skydd av personuppgifter. Förenkling får inte leda till en sänkt skyddsnivå eller skapa rättslig osäkerhet.
Definitionen av personuppgifter och räckvidden
En central invändning rör förslag som påverkar definitionen av personuppgifter. EDPB och EDPS anser att ändringarna går längre än ett tekniskt förtydligande och riskerar att inskränka begreppets räckvidd. Eftersom definitionen är avgörande för hela regelverkets tillämpningsområde kan detta få betydande konsekvenser.
De uttrycker även betänkligheter mot att ge kommissionen befogenhet att genom genomförandeakter fastställa när vissa uppgifter, såsom pseudonymiserade uppgifter, inte längre ska betraktas som personuppgifter. En sådan ordning kan påverka lagstiftningens materiella räckvidd och måste därför bedömas med stor försiktighet.
Administrativa krav och övriga ändringar
EDPB och EDPS är öppna för att se över vissa administrativa skyldigheter, exempelvis trösklar och tidsfrister för anmälan av personuppgiftsincidenter, under förutsättning att skyddsnivån för registrerade bibehålls. De välkomnar även åtgärder som kan främja en mer enhetlig tillämpning, såsom gemensamma mallar för konsekvensbedömningar.
När det gäller förslag om en särskild rättslig grund kopplad till berättigat intresse för AI-utveckling anser de att detta inte är nödvändigt, eftersom befintlig reglering och rättspraxis redan ger utrymme för en korrekt genomförd intresseavvägning. De noterar också vissa positiva förtydliganden rörande vetenskaplig forskning och biometrisk autentisering, men efterlyser klarhet i fråga om undantag för känsliga uppgifter och transparenskrav.
Sammanfattande bedömning
EDPB och EDPS intar en konstruktiv men restriktiv hållning. De stödjer målet att förenkla och modernisera regelverket, men framhåller att detta inte får ske på bekostnad av grundläggande rättigheter eller genom åtgärder som påverkar dataskyddets materiella räckvidd.
Den fortsatta lagstiftningsprocessen kan få praktiska konsekvenser för organisationers arbete med dataskydd och regelefterlevnad.
Vi på TechLaw bistår företag och organisationer med kvalificerad juridisk rådgivning inom dataskydd. Kontakta oss för en genomgång av hur Digital Omnibus kan påverka er verksamhet och vilka åtgärder som bör vidtas.